我想允许用户使用 VPN 隧道通过我的 DD-WRT 路由器连接到我的家庭网络。
我希望用户能够自由访问我本地网络上的特定 IP(10.10.10.5)。我不希望客户端能够通过 VPN 隧道浏览互联网。
有人知道如何设置吗?
答案1
配置防火墙以仅允许 VPN 访问其所需的内容。设备很可能是tun0。DD-WRT 应该使用基于 iptables 的防火墙。根据记忆,您可以查看安装shorewall或shorewall-lite。
在你的情况下,你可能想要一个设备的拒绝策略和接受的规则
- 相关且已建立的流量。
- NAS 的传入连接
- 远程桌面的传入连接
- 如果您推送 DNS 服务器,则 DNS 会收到传入连接
- 可以访问互联网进行任何活动,或者如果你愿意,可以进行有限的访问
如果您仅从 VPN 向您的网络推送路由,则用户应通过其现有连接访问 Internet,您无需允许他们访问。但是,这可能会允许通过连接服务器上的代理访问您的服务。您需要自行评估风险。
答案2
好的,如果你配置dd-wrt 中的 VPN,只要您知道用户名和密码,我相信默认情况下您内部网络上的所有内容现在都可以访问。
服务器不再直接面向互联网,而且本质上更安全。一旦建立隧道,如果 dd-wrt 访问限制正常工作,您基本上会得到以下信息:
- 分配有特定 IP 子网的 VPN 隧道(192.168.3.x 或其他)
- 一个访问限制路由器上的功能可禁用特定 IP/范围的互联网连接。
- 允许流量进入的安全隧道分配了不允许互联网访问的 IP,但由于 VPN 仍然可以与网络内的主机进行通信。
答案3
我最终没有使用 DD-WRT 来实现这一点。
在我拥有的 dd-wrt 版本中,这样做似乎存在问题/错误。固件:DD-WRT v24-sp2 (08/07/10) std
不知道问题出在哪里,但尝试了两天后,我还是无法让它接受连接。还有一些帖子说人们似乎已经正确配置了它,但没有让它工作 http://www.dd-wrt.com/phpBB2/viewtopic.php?p=651839 (不能发布更多链接,否则我会)
我通过在我的 Hyper-V 机器上运行设置专用 VPN 服务器来解决这个问题。
我使用本指南在 Windows Server 2008 下进行设置 http://www.buchatech.com/2010/06/how-to-setup-vpn-access-on-server-2008/
立即让它工作,将 TCP 端口 1723 从 DD-wrt 转发到服务器。
附注:我的 DHCP 路由器使用 192.168.1.50-100,我的 VPN 用户获取地址为 192.168.1.200-210。这允许 VPN 用户访问网络,而无需服务器上的任何 NAT 转换,并且由于没有任何 NAT 转换,他们也被阻止访问互联网 :)